分类: 恶意软件

黑客正出售在显卡 VRAM 内隐藏恶意软件的工具

想在电脑杀毒软件检查系统RAM时将恶意代码隐藏起来?很简单,只需将其隐藏在显卡的VRAM中。最近有人在网上出售一种能够实现这种功能的概念验证工具,这对Windows用户来说可能是个坏消息。 Bleeping Computer写道,最近有人在一个黑客论坛上出售一种PoC。他们没有透露关于该工具的太多细节,但其工作原理是在GPU内存缓冲区分配地址空间来存储恶意代码,并从那里执行它。 卖家补充说,该代码只在支持OpenCL 2.0或更高版本的Windows电脑上工作。他们证实它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650显卡上可以工作。它也适用于英特尔的UHD 620/630集成图形。 8月8日,论坛上出现了宣传该工具的帖子。大约两周后(8月25日),卖家透露,他们已经将PoC卖给了别人。8月29日,研究小组Vx-underground在Twitter上说,恶意代码使GPU在其内存空间中执行二进制。它将”很快”展示这一技术。  我们过去曾见过基于GPU的恶意软件,例如你可以在GitHub上找到开源的Jellyfish攻击方式,这是一个基于Linux的GPU rootkit PoC,利用了OpenCL的LD_PRELOAD技术。JellyFish背后的研究人员还发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。 这种方法的技术核心是通过DMA[直接内存访问]直接从GPU监控系统的键盘缓冲区,除了页表之外,在内核的代码和数据结构中没有任何挂钩或修改。对攻击代码原型实现的评估表明,基于GPU的键盘记录器可以有效地记录所有的用户按键,将它们存储在GPU的内存空间中,甚至可以就地分析记录的数据,而运行时间的开销甚至可以忽略不计。 早在2011年,安全人员就发现了一种新的恶意软件威胁,利用GPU来挖掘比特币。但是最近PoC的卖家说,他们的方法与JellyFish不同,因为它不依赖代码映射回用户空间。 (消息及封面来源:cnBeta)

卡巴斯基:Kanye West 的《Donda》新专辑就像是“网络诈骗磁铁”

网络犯罪分子正在发起一个新的骗局,利用Kanye West的《Donda》专辑的发行,在互联网上分发包含恶意软件的假专辑。网络安全公司卡巴斯基研究了这一事件,以了解威胁者是否在互联网上传播任何恶意软件。他们强调,其中一个骗局是针对备受期待的媒体(电影、音乐)的发布,因为他们可以将恶意代码放在可以轻易下载的假文件中。 这个特殊的骗局尝试涉及将假的恶意文件上传到互联网上,这些文件与电影《黑寡妇》问世前的文件相似。Kanye的粉丝会得到一个下载专辑的链接,然后被要求参与一项调查,以确认他们不是机器人,之后,客户被重定向到一个提供几个比特币生成骗局的网站。kasper 卡巴斯基实验室检测到以下两个文件被感染了广告软件,并伪装成《Donda》专辑,以欺骗Kanye的粉丝:”Download-File-KanyeWestDONDA320.zip_88481.MSI和Kanye West _ DONDA (Explicit) (2021) Mp3 320kbps [PMEDIA] __ – Downloader.exe”。 除了常见的欺诈性下载之外,卡巴斯基还发现了各种不同的欺诈网站,它们采用不同的策略,试图诱使客户点击虚假链接,提供个人信息,并以其他方式泄露他们的敏感数据。 卡巴斯基安全专家安东·伊万诺夫在关于围绕《黑寡妇》发布的骗局时的警告中解释说,骗子和网络犯罪分子正在利用许多人的兴奋、热情和放松警惕,因为他们试图找到一种方法来获得新内容。 为了避免成为此类骗局的受害者,建议仔细检查下载链接,不要点击不正当的网址,并始终从有信誉的来源下载。   (消息及封面来源:cnBeta)

遭遇勒索软件攻击已成为企业和机构第二常见的网络安全事件

CybSafe对报告给英国信息专员办公室(ICO)的事件的分析显示,2021年上半年,勒索软件攻击占所有报告的网络安全事件的22%。这比2020年上半年的11%有所上升。网络钓鱼仍然领先,占向ICO报告的所有网络安全案件的40%,比前一年的44%略有下降,但勒索软件现在已经挤到了第二位。 教育是受影响最严重的部门,在2021年上半年,勒索软件占了该领域32%的攻击事件比例,而前一年只有11%。随着许多学校急于过渡到远程学习,越来越多的攻击导致学校丢失课程作业、财务记录甚至COVID-19测试数据。 零售业和制造业也继续成为网络攻击的主要目标,在2021年上半年的所有报告事件中占20%。 CybSafe的首席执行官Oz Alashe表示勒索软件已经是一个重要的威胁,在过去一年中变得越来越普遍。最近对政府机构和医疗服务的攻击让我们看到了这种攻击的破坏性。在教育领域,向远程学习的快速转型已经在学校的防御中打开了新的漏洞,而勒索软件团伙已经非常乐意利用它们。 为了应对这种威胁,如果我们应该迎接真正的行为改变,需要超越原有框架的安全的意识练习,这些行为是我们防御此类恶意威胁的基础,在未来几年内,其重要性只会越来越大。 了解更多细节请访问CybSafe官方博客: https://www.cybsafe.com/community/blog/   (消息及封面来源:cnBeta)

研究发现 FlyTrap 恶意软件破坏了数千个 Facebook 账户

安全研究人员发现,自2021年3月以来,一个代号为FlyTrap的新安卓木马已经袭击了至少140个国家,并通过社交媒体劫持、第三方应用商店和侧载应用程序传播给超过10000多名受害者。 Zimperium的zLabs移动威胁研究团队最近使用Zimperium的z9恶意软件引擎和设备上的检测,发现了以前没有被检测到的恶意软件。经过他们的取证调查,zLabs团队确定这个以前未被检测到的恶意软件是一个木马家族的一部分,它采用社会工程的技巧来破坏Facebook账户。 这个活跃的Android木马攻击已经命名为FlyTrap,安全研究人员指出自2021年3月以来,来自越南的黑客团队在运营这个木马活动。这个恶意应用程序最初是通过Google Play和第三方应用程序商店分发的。Zimperium zLabs向Google报告了这些发现,Google核实了所提供的研究,并从Google Play商店删除了相关的恶意应用程序。然而,包含这个木马程序的恶意应用程序仍然可以在第三方不安全的应用程序库中找到,因此突出了侧载应用程序对移动端点和用户数据的风险。 FlyTrap通过感染Android设备的木马程序劫持受害者的Facebook账户,对受害者的社会身份构成威胁。从受害者的Android设备上收集的信息包括Facebook ID、地点、电子邮件地、IP地址、与Facebook账户相关的Cookie和令牌。这些被劫持的Facebook会话可以被用来传播恶意软件,通过带有木马链接的个人信息滥用受害者的社会信誉,以及利用受害者的地理位置信息进行宣传或造谣活动。这些社会工程技术在数字世界中是非常有效的,并经常被网络犯罪分子用来将恶意软件从一个受害者传播到另一个受害者。   (消息及封面来源:cnBeta)

勒索软件 eCh0raix 衍生出新变种:可感染 QNAP 和群晖 NAS 设备

根据安全公司 Palo Alto Networks 的最新报告,知名勒索软件 eCh0raix(也称 QNAPCrypt)近日衍生出一个新变种,现在可以感染 QNAP 以及 Synology 网络附加存储(NAS)设备。 去年 9 月,Palo Alto Networks 就发现了这种新型 eCh0raix 变种,该勒索软件活动的项目名称为“rct_cryptor_universal”,表明该恶意软件可以影响任何供应商。早些时候,该项目名称为”qnap_crypt_worker”,因为它将使用不同的变体经常在不同的实例上感染 QNAP 和 Synology 设备。 eCh0raix 是在 2016 年肆虐的一款勒索软件,当时它只是攻击 QNAP NAS 系统,因此也被称之为 QNAPCrypt。随后该勒索软件不断进化,在 2019 年和 2020 年再次对 QNAP 设备进行了攻击。 新型 eCh0raix 变种目前编号为 CVE-2021-28799。早在4月,QNAP 已经确认该漏洞是 HBS 3(混合备份同步3)中的”不当授权漏洞”。该公司进一步补充说,它已经在以下HBS 3版本中修复了这个黑客。 ● QTS 4.5.2: HBS 3 v16.0.0415及以后的版本 ● QTS 4.3.6: HBS 3 v3.0.210412及以后版本 ● QTS 4.3.3和4.3.4: HBS 3 v3.0.210411及以后版本 ● QuTS hero h4.5.1: HBS 3 v16.0.0419及以后版本 ● QuTScloud c4.5.1 ~ c4.5.4: HBS 3 v16.0.0419及以后版本 与受影响的Synology系统的安全固件版本相关的信息还不存在。根据Cortex Xpanse的数据,QNAP和Synology总共有大约25万台受影响的设备。   (消息及封面来源:cnBeta)

法国情报部门证实在记者的手机上发现“飞马”间谍软件

据外媒报道,法国情报调查人员证实,他们已在三名记者的手机上发现了“飞马”(Pegasus)间谍软件,其中包括该国国际电视台法国24电视台的一名高级工作人员。 这是第一次有独立的官方机构证实“飞马”项目–包括《卫报》在内的17家媒体组成的联合体–的国际调查结果。总部设在巴黎的非营利性媒体组织Forbidden Stories和大赦国际最初获得了一份泄露的5万个号码的名单,据信这些号码自2016年以来一直被以色列公司NSO集团的客户认定为相关人员的号码,并与他们的媒体伙伴分享了访问权限。 法国国家信息系统安全局(ANSSI)在这名电视记者的手机上发现了NSO集团黑客间谍软件的数字痕迹,并将其发现转达给巴黎检察院,后者正在监督对可能的黑客行为的调查。 ANSSI还在法国调查网站Mediapart的调查记者Lénaïg Bredoux和该网站的主管Edwy Plenel的手机上发现了“飞马”间谍软件。 《Forbidden Stories》认为,全世界至少有180名记者可能被选为感兴趣的人,提前被NSO的政府客户可能的监控。 法国24电视台的一位消息人士说,该电视台发现其一名员工可能被监控时,感到“非常震惊”。“我们对记者可能成为间谍活动的对象感到惊愕和愤怒。我们不会对此置之不理。”该消息人士说:“我们将采取法律行动。” 《法国世界报》报道说,驻巴黎的法国24台记者被选中“最终被置于监控之下”。该报称,警方专家发现间谍软件被用来三次瞄准该记者的手机:在2019年5月、2020年9月和2021年1月。 Bredoux告诉《卫报》,调查人员在她和Plenel的手机上都发现了“飞马”间谍软件的踪迹。她说,长期以来对他们成为目标的怀疑得到了证实,这与那些被认为是试图监视他们的人的一再否认相矛盾。 “它结束了这一切是谎言和假新闻的想法。这是我们需要的证据,”Bredoux说。 在法国总统马克龙、前总理爱德华·菲利普和14位现任部长(包括负责司法和外交事务的部长)的手机号码出现在泄露的数据中后,法国政治家表示震惊。“飞马”项目的研究表明,摩洛哥是可能对马克龙及其高级团队感兴趣的国家,这让人们担心他们的手机被法国的一个亲密外交盟友选中。 NSO表示,马克龙不是也从来没有成为其任何客户的 “目标”,这意味着该公司否认他被选中进行监视或使用“飞马”系统进行监视。该公司补充说,一个号码出现在名单上的事实决不表明该号码是否被选中使用“飞马”间谍软件进行监视。 摩洛哥 “断然 “否认并谴责它所谓的 “毫无根据的虚假指控”,即它利用“飞马”监视高知名度的国际人物。摩洛哥 政府的律师上周说,它已在巴黎对国际特赦组织和《Forbidden Stories》提出诽谤索赔。 Bredoux补充说:“要花点时间才能意识到这一点,但想到自己正在被监视,你的丈夫和孩子、你的朋友–他们都是附带受害者–的照片被查看,这是非常令人不快的;你没有任何可以逃避的空间。这是非常令人不安的。” 但在2015年写了一系列关于摩洛哥内部情报局局长AbDELLatif Hammouchi的文章的Bredoux说,她主要关心的是记者们的联系人。 “作为记者,更令人担忧的是消息来源和联系人可能已经被泄露,这些不仅是对你的隐私和私人生活的侵犯,也是对新闻自由的侵犯。” “我们与摩洛哥的记者情况不同,但却被当作特洛伊木马来使用,所以我对摩洛哥的同行表示同情。我的手机可能被用来帮助攻击这些每天都在战斗的记者,这让我非常生气。” 上个月,当“飞马”项目的消息传出后,马克龙下令进行多项调查。法国总理让·卡斯泰说,法国政府已经 “下令进行一系列调查”,此前他曾发誓要 “揭露所有的启示”。 在以色列,当局上周检查了NSO的办公室。周日,以色列《国土报》报道说,已经为网络公司召开了一次 “紧急 “会议,以评估这些信息披露对国内行业的影响。目前还不清楚哪些公司将参加这次会议。 “飞马”间谍软件由NSO集团开发、销售并授权给世界各地的政府。该恶意软件有能力感染数十亿运行iOS或Android操作系统的手机。它使间谍软件的操作者能够提取信息、照片和电子邮件,记录电话并秘密激活麦克风。一个号码出现在泄露的名单上,并不意味着它受到了企图或成功的黑客攻击。 根据对大规模数据泄漏的调查,世界各地的人权活动家、记者和律师已被选为专制政府使用黑客软件进行潜在入侵性监控的可能人选。 调查表明,“飞马”间谍软件被广泛和持续地滥用,NSO坚持认为它只用于打击罪犯和恐怖分子。 (消息及封面来源:cnBeta)

恶意软件开发者转向冷门编程语言 以躲避安全分析与检测

根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。 特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。 黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加载器正变得越来越普遍。 一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制,就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。 报告中点名的恶意软件,包括了 Remcos 和 NanoCore 远程访问木马(RAT),以及常见的 Cobalt Strike 信标。 然而一些拥有更多资源的恶意软件开发者,正在将他们的恶意软件通过冷门语言来重新包装,比如 Buer 或 RustyBuer 。 基于当前的趋势,安全研究人员表示,网络犯罪社区对 Go 语言的兴趣尤为浓厚。 黑莓称,有深厚背景的高级持续性威胁(APT)组织、以及商品化的恶意软件开发者,都相当有意于通过冷门语言来升级他们的武器库。 今年 6 月,CrowdStrike 亦曝光了一款勒索软件新变种,可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通过 Go 语言对其主要负载进行加密封包。 之所以作出这样的假设,是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件,还针对多个活动中的所有主要操作系统。 此外尽管 DLang 不像 Go 那样“流行”,其在 2021 开年至今的采用率也在缓步上升。 研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。 此外他们正在避免使用基于签名的检测工具,提升目标系统的交叉兼容性,且代码库本身也可能套上一层来隐藏。 最后,黑莓威胁研究副总裁 Eric Milam 评论道:恶意软件制作者以快速适应和修改利用新技能而被业界所熟知,但行业客户也必须对这样的重要趋势提高警惕,因为将来的安全形势只会变得更加严峻。   (消息及封面来源:cnBeta)

微软发高危公告:警惕 LemonDuck 恶意软件攻击

援引 The Hacker News 报道,为了提高恶意活动的效率,LemonDuck 通过关注早期的漏洞和简化攻击流程,不断完善和加强了针对 Windows 和 macOS 的攻击技术。微软表示 LemonDuck 是一种非常活跃且功能强大的恶意软件,在攻击成功之后被用于僵尸网络和加密货币挖矿。 而且它采取了更复杂的行动并加强了运作方式。最新版本已经能够绕过安全检查,通过电子邮件传播,横向移动,窃取凭证,并衍生出了更多的黑客工具。 在感染该恶意软件之后,就会迅速向设备所在的网络进行传播,窃取设备上的用户信息,并通过利用计算机资源非法开采加密货币。具体来说,LemonDuck 作为后续攻击的加载器,涉及窃取凭证和安装下一代植入物,可以作为一些威胁的网关,其中最重要的是赎金软件。 另一个值得注意的策略是能够通过删除竞争性软件和通过修复攻击者能够访问的漏洞来防止新的感染,从而从被攻击的设备中移除额外的攻击者。 目前,LemonDuck 恶意软件的攻击目标大多是制造业和物联网行业,大多数攻击发生在俄罗斯、韩国、中国、法国、德国、印度、加拿大、越南和美国。此外,微软曝光了第二个实体 LemonCat 的运作情况,它利用 LemonDuck 完成各种目标。 据报道,LemonCat 的攻击架构在 2021 年 1 月左右浮出水面,最终导致利用微软 Exchange 服务器的漏洞进行攻击。随后篡改使用 Cat 域名导致安装后门、凭证和数据被盗,以及部署恶意软件,通常是一个被称为 Ramnit 的 Windows 木马。     (消息及封面来源:cnBeta)  

Guess 遭受勒索软件攻击后出现数据泄露事件

据Techtwiddle报道,在2月发生勒索软件攻击后,流行的时尚和零售商Guess让客户了解到网络攻击后发生的数据泄露事件。2021年6月3日,Guess完成了对存储在被黑系统中的文件的全面分析,并能够确定所有受影响者的地址。从6月9日开始,Guess开始向受影响的客户发送通知信,为他们提供免费的身份入侵安全解决方案,并由Experian提供一年的免费信用监控。 据悉,该公司客户的护照号码、金融账户号码、驾驶执照号码,甚至社会安全号码都被盗。据该公司称,大约有200GB的数据受到影响。考虑到Guess在美国、加拿大、欧洲、中东和亚洲经营着超过1250个公司拥有的和独立的零售点,这并不令人惊讶。 据称DarkSide是这次勒索软件攻击的幕后黑手 Guess从未披露过勒索软件攻击背后的威胁行为者的身份。DataBreaches.Net在三个月前的一篇文章中透露,网络犯罪组织DarkSide在其网站上发布了被盗信息。在过去的一年里,DarkSide对商业网络发起了一系列攻击,要求用赎金来换取解密和恢复受害者服务器中被删除的数据。 这个网络犯罪集团在5月入侵了Colonial Pipeline公司的网络,由于这次攻击的影响,他们受到了美国政府不受欢迎的关注。东海岸出现石油短缺的事实,促使美国政府立即采取更严格的措施加强网络防御。他们甚至说,他们将把勒索软件攻击的调查提升到与恐怖主义类似的优先级。 在国家施加大规模压力后,DarkSide说他们没有想到会造成这么大的损失,他们随后宣布解散他们的黑客组织。   (消息及封面来源:cnBeta)

REvil 勒索软件组织的基础设施和网站已神秘下线

昨晚,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。从昨晚开始,REvil 勒索软件组织所使用的网站和基础设施已经神秘地关闭了。 在接受外媒 BleepingComputer 采访的时候,Tor 项目的 Al Smith 表示:“简单来说,显示的这个错误通常意味着该 Onion 网站已经离线或者被禁用。如果你想要确认的话,你需要联系 Onion 网站的管理员”。虽然 REvil 网站在一段时间内失去连接并非闻所未闻,但所有网站同时关闭的情况并不常见。 此外,decoder[.]re 明网不再能被 DNS 查询解析,可能表明该域名的 DNS 记录已被撤销,或后端 DNS 基础设施已被关闭。Recorded Future 的 Alan Liska 说,REvil 网站在美国东部时间今天上午 1 点左右下线了。 今天下午,LockBit 勒索软件的代表在 XSS 俄语黑客论坛上发帖说,据传 REvil 团伙在得知政府的传票后删除了他们的服务器。 Advanced Intel 的 Vitali Kremez 将这段话翻译出来就是:“根据未经证实的信息,REvil 服务器基础设施收到了政府的法律要求,迫使 REvil 完全擦除服务器基础设施并消失。然而,这并没有得到证实”。Kremez 解释说:“根据经验,顶级论坛的管理部门在怀疑其用户被警方控制时,会对其进行禁言”。 不久之后,XSS 管理员禁止 REvil 的 “Unknown”账户,即勒索软件团伙面向公众的代表,离开论坛。     (消息及封面来源:cnBeta)